Como Auditar o Acesso Direto a Arquivos Confidenciais do OneDrive for Business

O OneDrive for Business armazena arquivos confidenciais que precisam de proteção contra acesso não autorizado. O acesso direto ocorre quando alguém ignora os links de compartilhamento e abre um arquivo diretamente da pasta do OneDrive ou da interface web. Este artigo explica como auditar eventos de acesso direto usando o portal de conformidade do Microsoft 365 Purview e a pesquisa de log de auditoria.

Os eventos de acesso direto são registrados no log de auditoria unificado quando um usuário abre um arquivo do OneDrive ou SharePoint. O log de auditoria captura o usuário, o arquivo, o tipo de ação e o timestamp. Você pode filtrar esses logs para identificar quem acessou arquivos confidenciais e se o acesso foi legítimo.

Este guia aborda a ativação do log de auditoria, a pesquisa de eventos de acesso direto, a interpretação dos resultados e a configuração de alertas para atividades suspeitas. Você também aprenderá a exportar registros de auditoria para relatórios de conformidade.

O Que Significa Acesso Direto no OneDrive for Business

Acesso direto no OneDrive refere-se a qualquer operação de abertura de arquivo que não use um link compartilhado. Quando um usuário com pelo menos permissão de leitura abre um arquivo da pasta do OneDrive no PC, do aplicativo móvel do OneDrive ou da interface web do OneDrive, o sistema registra um evento FileAccessed. Isso é diferente de acessar um arquivo por meio de um link de compartilhamento, que registra um evento FilePreviewed ou FileDownloaded, dependendo do tipo de link.

Os eventos de acesso direto são importantes para conformidade porque mostram quem realmente abriu arquivos confidenciais. Um usuário que não deveria ter acesso a um arquivo pode abri-lo diretamente se recebeu permissões por meio de associação a grupo ou acesso delegado. Auditar esses eventos ajuda as equipes de segurança a detectar tentativas de exfiltração de dados, ameaças internas ou exposição acidental.

Pré-requisitos para o Log de Auditoria

Antes de auditar eventos de acesso direto, você precisa do seguinte:

• Licença Microsoft 365 E5 ou E5 Conformidade: O log de auditoria para eventos avançados requer uma licença E5. Licenças E3 fornecem pesquisa básica de log de auditoria.
• Pesquisa de log de auditoria habilitada: No Microsoft 365, a pesquisa de log de auditoria é habilitada por padrão. Verifique isso no portal de conformidade do Purview em Auditoria > Configurações de auditoria.
• Permissões: Você precisa da função Logs de Auditoria ou da função Logs de Auditoria Somente Visualização no portal de conformidade do Purview. Os administradores globais têm essas permissões por padrão.

Etapas para Auditar Acesso Direto a Arquivos Confidenciais do OneDrive

Siga estas etapas para pesquisar no log de auditoria eventos de acesso direto a arquivos ou pastas específicos no OneDrive for Business.

1. Abra o portal de conformidade do Microsoft 365 Purview
   Faça login em compliance.microsoft.com com uma conta que tenha a função Logs de Auditoria. No menu de navegação à esquerda, selecione Auditoria na seção Soluções.
2. Configure os parâmetros de pesquisa do log de auditoria
   Na página Auditoria, clique em Pesquisar. Em Intervalo de data e hora, selecione um intervalo que cubra o período que você deseja investigar. Para arquivos confidenciais, um intervalo de 90 dias é padrão. Em Atividades, selecione Atividades de arquivo e página e marque FileAccessed. Isso filtra os resultados apenas para eventos de abertura direta de arquivos.
3. Especifique o arquivo ou pasta confidencial
   No campo Arquivo, pasta ou site, insira a URL completa do arquivo ou pasta confidencial. Você pode obter essa URL abrindo o arquivo no OneDrive na web e copiando o endereço do navegador. Por exemplo: https://contoso-my.sharepoint.com/personal/usuario_contoso_com/Documents/Financeiros/Relatorio_Q4.xlsx. Deixe o campo em branco para ver todos os eventos de acesso direto de todos os arquivos.
4. Execute a pesquisa
   Clique em Pesquisar. O portal exibe os resultados em uma tabela. Cada linha mostra a data, o usuário que acessou o arquivo, a ação (FileAccessed), o nome do arquivo e o local (URL do OneDrive). Para ver detalhes, clique em qualquer linha para abrir o painel Detalhes.
5. Exporte os resultados para registros de conformidade
   Clique em Exportar no topo da tabela de resultados. Escolha Exportar todos os resultados para baixar um arquivo CSV com todos os eventos. Você pode abrir este arquivo no Excel para filtrar por usuário, data ou nome do arquivo. Esta exportação é útil para auditorias de conformidade ou descoberta legal.

Filtrando Resultados para Usuários ou Arquivos Específicos

Após a pesquisa inicial, você pode restringir ainda mais os resultados:

• Por usuário: Nos resultados da pesquisa, clique no cabeçalho da coluna Usuário para classificar. Ou use o filtro Usuários no painel de pesquisa para especificar um ou mais endereços de e-mail de usuários.
• Por arquivo: Use a caixa de pesquisa Arquivo na barra de ferramentas de resultados para digitar um nome parcial do arquivo. O portal filtra os resultados exibidos em tempo real.
• Por data: Clique no cabeçalho da coluna Data para classificar em ordem crescente ou decrescente. Use os controles deslizantes de intervalo de data no topo da página de resultados para ampliar um dia ou hora específicos.

Se o Log de Auditoria Mostrar Acesso Direto Inesperado

Quando você encontrar eventos de acesso direto de usuários inesperados, use as seguintes etapas para investigar e corrigir.

“Evento FileAccessed de um usuário que não deveria ter acesso”

Essa situação geralmente significa que o usuário herdou permissões por meio de um grupo do SharePoint ou um grupo do Microsoft 365. Verifique as permissões no arquivo ou em sua pasta pai:

1. No OneDrive na web, navegue até o arquivo.
2. Clique no nome do arquivo e selecione Gerenciar acesso.
3. Revise a lista de usuários e grupos. Se o usuário aparecer como membro de um grupo, clique no nome do grupo para ver seus membros.
4. Remova o usuário do grupo ou altere as permissões do arquivo para direcionar apenas usuários específicos.

“Preciso configurar alertas em tempo real para acesso direto a arquivos confidenciais”

Crie uma política de alerta personalizada no portal de conformidade do Purview:

1. Vá para Políticas de alerta em Políticas no menu de navegação à esquerda.
2. Clique em + Nova política de alerta. Dê a ela um nome como “Acesso Direto a Arquivos Confidenciais”.
3. Em Selecionar atividades, escolha FileAccessed. Em Condições, adicione a URL do arquivo ou um caminho de pasta.
4. Defina o limite de alerta para disparar em um único evento. Escolha notificação por e-mail para a equipe de segurança.
5. Clique em Salvar. A política começa a monitorar em até 30 minutos.

Acesso Direto vs Acesso por Link Compartilhado: Principais Diferenças

Item	Acesso Direto	Acesso por Link Compartilhado
Evento de auditoria	FileAccessed	FilePreviewed, FileDownloaded
Permissões necessárias	Permissões diretas ou herdadas no arquivo ou pasta	Permissões do link (visualizar, editar ou baixar)
Usuário típico	Proprietário, coproprietário ou membro de grupo com acesso	Qualquer pessoa com o link, incluindo usuários externos
Nível de risco	Médio — o acesso é controlado por permissões, mas pode ser herdado inesperadamente	Alto — os links podem ser encaminhados ou vazados

Agora você pode pesquisar no log de auditoria eventos de acesso direto a arquivos confidenciais do OneDrive, exportar os resultados e criar políticas de alerta. Em seguida, configure um relatório de auditoria semanal recorrente para todos os arquivos na biblioteca de documentos confidenciais da sua organização. Como dica avançada, use o cmdlet PowerShell Search-UnifiedAuditLog para automatizar consultas de log de auditoria e integrá-las ao seu sistema de gerenciamento de eventos e informações de segurança.